这个病毒很老了,已经有很多前辈分析过该病毒,跟着前辈们的思路深入分析一下,并编写一个清理工具。这是我分析的第一个真实环境下的恶意样本,文中如果有不正确的地方请指正。只需要清理工具的话,直接下滑到
解决方案 一节。
病毒行为总览
代码使用Delphi7编写,后续分析汇编代码发现有对XP系统和更高版本windows做了兼容处理,在这些系统上都可以正确感染,年代久远(我还没用过xp..)。被感染机器的 C:\ProgramData\目录下会有Synaptics目录,其下包含原始的恶意样本,但是图标不固定(图标会更新为最近一次运行被感染exe文件的图标),病毒生成的大部分文件都将其设置为 隐藏文件和系统文件(Exlporer设置显示隐藏文件和系统文件或命令行下attrib即可看到)。
被感染机器的Desktop、Documents、Downloads目录下的32位EXE文件和xlsx文件都会被掉包,但是用户并不会有察觉,导致文件分享给他人时,大范围感染。
病毒包含很多模块,下面是一个大体功能图,其中和网络连接有关的模块的IOC都已经失效。
2000多本网络安全系列电子书
网络安全标准题库资料
项目源码
网络安全基础入门、Linux、web安全、攻防方面的视频
网络安全学习路线图
蠕虫模块分析
通过 SHGetSpecialFolderLocation和
SHGetPathFromIDListA来获取要感染的目录(清理工具的编写也会通过这种方式)。病毒会获取Desktop、Downloads和Documents的路径并递归感染子文件。
EXE文件感染分析
对于EXE文件,通过LoadLibrary加载到当前进程(病毒是32位的,所以只感染32位的EXE),根据其资源节“EXEVSNX”的情况,来进行对应的操作,这个资源节内的数据代表着版本号。这个病毒是可以进行版本更新的。
具体的感染流程如下,思路很简单。将原文件打包到病毒文件的资源节“EXERESX”中,病毒文件的图标被替换为原文件的图标,最后用病毒文件替换原文件。
当用户运行被掉包的EXE文件时,会释放出资源节"EXERESX"的原文件并运行,这样就对用户来说无感知。
具体的释放流程如下,原文件会被释放到已 ".cache"开头的文件中,文件属性被设置为 系统文件和隐藏文件,即使打开“显示隐藏文件的选项”也不会显示,“显示系统文件”的选项一般用户很少会打开。比较有趣的一点是代码中还会判断 ".cache"开头的文件是否也有资源节"EXERESX"。这是一个重复感染的问题,病毒作者考虑到了这一点。分析整个代码来看,可以发现病毒作者的编程功底很强,很多特殊情况的处理都有考虑到。
XLSX文件感染分析
感染xlsx文件是通过COM组件完成的,所以只有安装了Excel的机器才会被正确感染(清理工具也是利用COM组件来进行修复xlsx文件的)。
大致的感染流程如下,病毒文件的资源节"XLSM"包含包含了恶意宏代码的xlsm文件。
中间部分大量调用了COM组件中的函数,这里并没有去分析。用动态调试跳过了这些函数,从结果来看就是把原来的xlsx中的数据拷贝到包含宏代码的xlsm文件中。最后替换原了的xlsx文件,并再起目录下生成一个 "~$chac1"文件(这也是一个感染特征,文件夹下有这个文件说明该路径下的xlsx文件都被感染为xlsm文件),这个文件的数据就是病毒文件本身,文件属性也设置了系统文件和隐藏文件。被感染的xlsx文件后缀会变成xlsm,内容和原来一样。
其它模块分析
这些模块有的已经失效了,并没有太深入的分析。
- 邮件发送: 使用的是Delphi中封装好的库,使用邮件服务器是
smtp.gmail.com,账号密码是xredline2@gmail.com;xredline3@gmail.com/xredline2x;xredline3x
我用gmail登录了一下,已经失效了。发送邮件的目的邮箱地址是 xredline1@gmail.com
在这里插入图片描述 - 键盘记录,设置消息钩子,最常用的方式。dll文件在病毒文件资源节"KBHKS"中。(动态调试过程中消息钩子并没有设置,出错原因还有待确认)
- 远控模块,功能很少,反弹shell、屏幕截图、文件上下载...
- 自启动项,直接操作注册表,用的是Delphi封装好的库(Register),使用很简单,不赘述。
IOC整理
文件MD5就不贴了,被感染文件一直都是变化的。
解决方案
基于上面的分析,就可以编写修复工具了。工具使用的也是Delphi编写的,为了分析这个病毒,稍微了解了一下Delphi,正好Delphi提供了一个很方便使用图形界面库。cdj68765 前辈也提供了一个命令行版本的修复工具,是用 c#写的。对于把xlsm修复为xlsx,前辈使用了Open_XML_SDK进行修复,这种方式更好。我使用的是和恶意代码一样的方式(COM组件)进行修复,这是一个取巧的方式,但是因为xlsm中的VBProject被加密了,导致通过COM组件的方式无法读取到宏代码进行特征判断后再修复,这里用到了一个折中的方案进行特征判断,下面会说明。
代码和工具下载在这里:https://github.com/forTheBest12138/RepairerForXredWorm
清理效果如下,目前只会扫描 Desktop、Downloads、Documents目录及其子目录。如果不在这些目录下的文件可以手动输入进行修复,目录和文件路径都行。
代码修复思路说明:
- 寻找病毒进程并关闭,这边病毒开机启动后一直后台运行
- 清除自启动项,及其对应的文件
- 修复EXE文件,判断标准是 EXE文件是否包含EXEVSNX和 EXERESX资源节,原理很简单,不赘述。
修复XLSX文件,使用COM组件的方式其实就和手动用Excel进行操作是一样的。所以我的思路是将xlsm"另存为/SaveAs"为xlsx格式,就会直接剔除掉宏代码,就和手动用Excel将xlsm保存为xlsx的效果是一样的,对应的代码就是图中标号3的地方。有几个坑点,图中标号1处的代码表示打开xlsm文件时是否执行宏代码,默认为1,即执行,所以一定要设置成3!!!这个选项好像不受宏执行策略的影响。标号2处的代码是来判断xlsm的宏代码中是否有特定的字符串,这样就可以先进行特征匹配判断其是否是被感染的xlsm文件,再进行修复,但是因为xlsm文件中的VBProject被加密,无法读取到宏代码。所以这部分代码无法使用,上面提到的折中的方案就是判断VBProject是否被加密再进行修复。所以特殊情况就是一个正常的xlsm文件有被加密的VBProject就会被误认为是被感染的文件!如果用Open_XML_SDK的话是可以绕过加密的问题,这样就可以达到100%的修复准确率。
同时还要设置运行访问VBA对象模型的注册表项,否则代码是无权读取xlsm的宏代码的。
感染过程中生成的".cache"前缀文件和“~$cache1"文件也会清理掉。
